いろいろなCAPTCHAモジュール ~BOT対策の認証いろいろ~
CAPTCHAいろいろ
「Google MapsのStreet Viewの画像認識アルゴリズムがCAPTCHAのほとんどを解読」と言うことで、世の中どんなCAPTCHAがあるのか調べてみた
KAPTCHA
頭文字が「K」なのがgoogleのCAPTCHA。 CAPTCHAはBOT対策のこの種の認証の総称です(豆知識)
kaptcha - kaptcha is a modern version of the simplecaptcha project - Google Project Hosting
reCAPTCHA
CAPTCHAの初期開発者であるルイス氏が、CAPTCHAを誕生させた時に、「人間の貴重なリソース、すなわち脳の思考サイクルを1回につき10秒単位で何百万時間も浪費させてしまうようなシステムをいつの間にか作ってしまった」ことを反省し、作成されたという新しいCAPTCHA。
毎回破られては改善されての繰り返しだが、破られる度にアップデートするのはさすが。
2012年6月27日のメキシコの学生グループの論文では、 高性能なOCR技術を使ってreCAPTCHAの画像に対して82%の正答率を得るシステムを構築したとの事。
→その後、googleが修正して、破られなくなったとの事。
[http://www.dc949.org/projects/stiltwalker/]
reCAPTCHA: Easy on Humans, Hard on Bots
CAPY
「金融イノベーションビジネスカンファレンス2015」にて大賞に輝いたCAPY。
やぶってみた記事がでてもあまり機能改善がない。
ベンチャーなので、googleほどセキュリティエンジニアが居ないだろうし、限界だろうか?
パズルバージョンがでるようなのでそちらに期待。
妹認証
「人間的対話による認証」をコンセプトにしたCAPTCHA。
画像形式の限界がささやかれている中では、こういったクイズ方式は意外に良いかも。
Codetcha
クイズ形式の行き過ぎた例。
Javascriptをデバッグすることで自分が人間であることを証明するというCAPTCHA
サイトの種類によっては有効な方法かも。
やっぱり、reCaptchaが最高か。。。
OWASP Kyushu Local Chapter Meeting 1st (2015.3.21 13:15~)
OWASP Kyushu Local Chapter Meeting 1st
OWASP Kyushu chapter 最初のイベントとして OWASP Kyushu Local Chapter Meeting 1stを3/21(土)に開催するそうです。 お近くの方はぜひ。
OWASP Kyushu Local Chapter Meeting 1st - OWASP Kyushu | Doorkeeper
ポンパレモール2周年記念最安値祭開催 (2015.3.26 13:00~)
ポンパレモールの2周年セール
抽選でテレビが2円などお買い得商品たくさん。
来年は3周年できっと3円だから、1.5倍の値上げになるから今回が買いですね。
※事前エントリー開始は3月20日(金)13:00~
3000円買い物でポンタポイントが貯まるようです
kali linux に入っているプログラム~ Top 10 Security Tools
kali Linuxに入っているプログラム~ Top 10 Security Tools ~
air crack-ng
無線LANのパスワードを解析ツール。WEPのクラックなどで大活躍。
参考:http://aircrack-ng.org/doku.php
burpsuite
ローカルプロキシツール。 webシステムの脆弱性診断の際に、リクエストパラメタの書き換えをしたりする。
参考:http://portswigger.net/burp/
hydra
ログインクラックツール。ブルートフォースアタックしたいときに大活躍。
参考:https://www.thc.org/thc-hydra/
John (John the ripper)
パスワードクラックツール。サーバのパスワードファイル(/etc/shadow)などを元にパスワードの解析が可能
参考:http://www.openwall.com/john/
maltegto
フォレンジックツール。最近だとソーシャルエンジニアリングの個人情報の収集などに威力を発揮!
参考:http://www.paterva.com/web6/
- 作者: クリストファー・ハドナジー,成田光彰
- 出版社/メーカー: 日経BP社
- 発売日: 2012/11/01
- メディア: 単行本
- 購入: 1人 クリック: 26回
- この商品を含むブログ (13件) を見る
metasploit framework
脆弱性、ペネトレーションテスト、侵入検知システム、シェルコードのアーカイブ、アンチフォレンジクスなどができるツール。
実践 Metasploit ―ペネトレーションテストによる脆弱性評価
- 作者: David Kennedy,Jim O'Gorman,Devon Kearns,Mati Aharoni,青木一史(監訳),秋山満昭(監訳),岩村誠(監訳),川古谷裕平(監訳),川島祐樹(監訳),辻伸弘(監訳),宮本久仁男(監訳),岡真由美
- 出版社/メーカー: オライリージャパン
- 発売日: 2012/05/23
- メディア: 大型本
- 購入: 6人 クリック: 40回
- この商品を含むブログ (7件) を見る
nmap
ポートスキャンツール。ただただポートをスキャンするだけ。
owasp-zap
OWASP作成の、無料のWEBサイトの脆弱性を診断するためのぺネトレーションテストツール
参考:https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
sqlmap
ブラインドSQLインジェクション攻撃ツール
wireshark
ネットワークプロトコルアナライザツール。ネットワークを介して通信するパケットを収集し、その内容や送信先などを解析することが可能
安全なウェブサイトの作り方 改訂第7版 (IPA 2015.3.16)
Forthcoming OpenSSL releases (OpenSSL, 2015.03.16)
OpenSSL versions 1.0.2a, 1.0.1m, 1.0.0r and 0.9.8zfが2015.03.19にリリースされるそうです。
複数のセキュリティ修正が含まれているそうで、セキュリティ影響は「高」
影響「高」はOpenSSL 1.0.2だけか?
The OpenSSL GroupのMark J Cox氏によると、Highの脆弱性はOpenSSL 1.0.2とのこと。
@solardiz @joshbressers @hanno right, the new High is 1.0.2 only, other versions new issues just Moderate and Low
— Mark J Cox (@iamamoose) 2015, 3月 16
3つの脆弱性の修正がマージ(2015.3.19 追記)
3つの脆弱がマージされ、いずれもlowレベルとのこと。
@Sh1bumi those are all "low severity" classification, previously committed issues, which will be included in roll up on Thursday too.
— Mark J Cox (@iamamoose) 2015, 3月 17
CVE-2015-0209 https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=ba5d0113e8bcb26857ae58a11b219aeb7bc2408a
CVE-2015-0285 https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=2b31fcc0b5e7329e13806822a5709dbd51c5c8a4
CVE-2015-0288 https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=28a00bcd8e318da18031b2ac8778c64147cd54f9
パッチ(2015.3.20 追記)
またOpenSSL 1.0.2だけが問題のようだ。 OpenSSL1.0.2は大変だなぁ。
https://www.openssl.org/news/secadv_20150319.txt?fb_ref=Default